Atlassian Confluence: настройка источника

Данное руководство описывает процесс настройки сбора и отправки событий Atlassian Confluence в R-Vision SIEM.

Настройка Atlassian Confluence

Настройка логирования для Confluence 8

Для версии Confluence 8 необходимо дополнительно изменить режим логирования.

Убедитесь, что формат сообщения в журнале atlassian-confluence.log стандартный. Для этого:

  1. Откройте файл /opt/atlassian/confluence/confluence/WEB-INF/classes/log4j.properties.

  2. Убедитесь, что в нем присутствует следующий параметр:

    log4j.appender.confluencelog.layout.ConversionPattern=%d %p [%t] [%c{4}] %M %enc{%m}{JSON}%n

Настройка сбора Audit для Confluence Data Center

Для версии Confluence Data Center настройте сбор Audit. Для этого:

  1. Войдите в веб-интерфейс от имени администратора системы.

  2. Перейдите в меню Основные настройки → Ведение журнала и профилирование.

  3. Выберите для журнала Log4j опцию Рабочий режим.

    atlassian confluence log4j work data

    Включение рабочего режима начнет формировать лог-файлы по пути /var/confluence/log/audit в вашей ОС.

  4. При необходимости измените уровни логирования для каждого типа событий.

  5. Перейдите в раздел Основные настройки → Расширенный журнал.

  6. Нажмите на кнопку menu и выберите из выпадающего списка вариант Настройки.

    atlassian confluence configure audit

  7. Для необходимых параметров аудита установите уровень охвата Полная конфигурация.

    atlassian confluence audit change

Настройка конфигурации rsyslog

  1. Чтобы настроить передачу событий из файла, создайте файл /etc/rsyslog.d/01-confluence.conf со следующим содержимым:

    module(load="imfile" mode="inotify")

input(
    type="imfile"
    File="/opt/confluence/logs/atlassian-confluence.log"
    Tag="Confluence_Log"
    Severity="info"
    Facility="local4"
)

input(
    type="imfile"
    File="/opt/confluence/logs/confluence_access.*.log"
    Tag="Confluence_Access"
    Severity="info"
    Facility="local4"
)
input(
    type="imfile"
    File="/var/confluence/log/audit_log.d/audit/*.log"
    Tag="confluence-audit"
    Ruleset = "confluence"
)

if $syslogtag == 'Confluence_Log' or $syslogtag == 'Confluence_Access' then {
        action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
        stop
}

ruleset(name="confluence") {
        action(type="omfwd" Target="<target>" Port="<port>" Protocol="<protocol>")
        stop
    )

    Здесь:

    • <target> — IP-адрес или полное доменное имя (FQDN) коллектора SIEM.

    • <port> — порт точки входа Syslog в конвейере SIEM.

    • <protocol> — сетевой протокол: tcp или udp.

      Использовались стандартные пути по умолчанию. Если путь был изменен, необходимо внести корректировки в конфигурационный файл

      Конфигурационный файл rsyslog содержит стандартные системные пути. Однако администратор может переопределить их во время инсталляции ПО или при кастомизации конфигурации логгирования.

  2. Перезапустите службу rsyslog.service с помощью команды:

    systemctl restart rsyslog.service
Если используется Docker-версия Confluence, при запуске контейнера может потребоваться дополнительное монтирование раздела /opt/atlassian/confluence в файловую систему хоста.

Настройка в R-Vision SIEM

Для настройки сбора и нормализации событий источника в R-Vision SIEM выполните следующие шаги:

  1. В интерфейсе R-Vision SIEM создайте новый конвейер в коллекторе.

  2. Добавьте на конвейер элемент Точка входа со следующими параметрами:

    • Название: введите название точки входа.

    • Тип точки входа: выберите вариант Syslog.

    • Порт точки входа: введите значение в соответствии с настройками на стороне Atlassian Confluence.

    • Протокол: выберите вариант в соответствии с настройками на стороне Atlassian Confluence.

  3. Добавьте VRL-трансформацию:

    .device_event_id = "confluence"

  4. Соедините добавленную точку входа и VRL-трансформацию.

  5. Добавьте на конвейер элемент Нормализатор с правилами Apache HTTP-server Access (идентификатор правила: RV-N-231) и Atlassian Confluence Audit (идентификатор правила: RV-N-237).

  6. Соедините нормализатор с VRL-трансформацией.

  7. Добавьте на конвейер элемент Конечная точка типа Хранилище событий.

  8. Соедините конечную точку с нормализатором.

  9. Сохраните и установите конфигурацию конвейера.

Пример конфигурации конвейера:

atlassian confluence pipeline

После настройки передачи событий, если настройка выполнена корректно, в хранилище начнут поступать события Atlassian Confluence.

Найти события Atlassian Confluence в хранилище можно по следующему фильтру:

device_product = "confluence"

atlassian confluence storage

Была ли полезна эта страница?

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies

Обратная связь